许多组织依赖于 ServiceNow、Zscaler 和 Slack 等软件即服务(SaaS)应用程序来提高最终用户工作效率。 从历史上看,IT 人员依赖于手动预配方法,例如上传 CSV 文件,或使用自定义脚本安全地管理每个 SaaS 应用程序中的用户标识。 这些过程容易出错、不安全且难以管理。
Microsoft Entra 自动用户预配可安全地根据业务规则在 SaaS 应用程序中自动创建、维护和删除用户标识,从而简化此过程。 通过此自动化,可以在仅云和混合环境中有效地缩放标识管理系统,同时扩展它们对基于云的解决方案的依赖。
请参阅 使用 Microsoft Entra ID 自动将用户预配和取消预配到 SaaS 应用程序 ,以更好地了解该功能。
除了预配到 SaaS 应用程序之外,Microsoft Entra 自动用户预配还支持预配到许多本地和私有云应用程序中。 有关详细信息,请参阅 Microsoft Entra 本地应用程序标识预配体系结构。
Learn
用户预配为正在进行的标识治理奠定了基础,并增强了依赖于权威标识数据的业务流程的质量。
主要优势
启用自动用户预配的主要优点包括:
提高工作效率。 可以使用单个用户预配管理界面跨 SaaS 应用程序管理用户标识。 此接口具有一组预配策略。
管理风险。 可以通过根据定义角色和/或访问权限的员工状态或组成员身份自动更改来提高安全性。
解决合规性和治理问题。 Microsoft Entra ID 支持每个用户预配请求的原生预配日志。 请求在源系统和目标系统中执行。 通过预配日志,可以跟踪谁有权从单个屏幕访问应用程序。
降低成本。 自动用户预配通过避免与手动预配相关的低效和人为错误来降低成本。 它减少了自定义开发的用户预配解决方案、脚本和预配日志的需求。
许可
Microsoft Entra ID 使用应用程序库菜单中提供的模板提供任何应用程序的自助服务集成。 有关许可证要求的完整列表,请参阅 Microsoft Entra 定价页。
应用程序许可
需要为要自动预配的应用程序(s)提供相应的许可证。 与应用程序所有者讨论分配给应用程序的用户是否具有其应用程序角色的适当许可证。 如果Microsoft Entra ID 管理基于角色的自动预配,则Microsoft Entra ID 中分配的角色必须与应用程序许可证保持一致。 在预配/更新用户的过程中,应用程序中拥有的许可证不正确可能会导致错误。
术语
本文使用以下术语:
CRUD 操作 - 对用户帐户执行的操作:创建、读取、更新、删除。
单一登录 (SSO) - 用户可以一次登录并访问所有已启用 SSO 的应用程序。 在用户预配的上下文中,SSO 是用户拥有一个帐户来访问使用自动用户预配的所有系统的结果。
源系统 - Microsoft Entra ID 预配的用户存储库。 Microsoft Entra ID 是大多数预集成预配连接器的源系统。 但是,云应用程序(如 SAP)存在一些例外情况。
目标系统 - Microsoft Entra ID 预配到的用户存储库。 目标系统通常是 ServiceNow、Zscaler 和 Slack 等 SaaS 应用程序。 目标系统也可以是本地系统,例如 AD。
跨域标识管理系统 (SCIM) - 允许用户预配自动化的开放标准。 SCIM 在标识提供者和服务提供商之间传达用户标识数据。 Microsoft是标识提供者的示例。 Salesforce 是服务提供商的示例。 服务提供商需要用户标识信息,标识提供者满足这一需求。 SCIM 是标识提供者和服务提供商用于来回发送信息的机制。
培训资源
| 资源 | 链接和说明 |
|---|---|
| 按需网络研讨会 |
使用 Microsoft Entra ID 管理企业应用程序 了解 Microsoft Entra ID 如何帮助你实现企业 SaaS 应用程序的 SSO 以及控制访问的最佳做法。 |
| 在线课程 | SkillUp Online: 管理标识 了解如何将 Microsoft Entra ID 与许多 SaaS 应用程序集成,并保护用户对这些应用程序的访问。 |
| 书籍 |
面向 Web 应用程序的 Microsoft Entra ID 新式身份验证(开发人员参考)第 1 版。 这是为这些新环境构建 Active Directory 身份验证解决方案的权威深入指南。 |
| FAQ | 有关 自动用户预配的常见问题 |
解决方案体系结构
Microsoft Entra 预配服务通过连接到每个应用程序供应商提供的用户管理 API 终结点,将用户预配到 SaaS 应用和其他系统。 这些用户管理 API 终结点允许Microsoft Entra ID 以编程方式创建、更新和删除用户。
混合企业自动用户预配
在此示例中,用户和或组是在连接到本地目录的 HR 数据库中创建的。 Microsoft Entra 预配服务管理目标 SaaS 应用程序的自动用户预配。
工作流说明:
用户/组是在本地 HR 应用程序/系统中创建的,例如 SAP。
Microsoft Entra Connect 代理 运行从本地 AD 到 Microsoft Entra ID 的标识(用户和组)的计划同步。
Microsoft Entra 预配服务 针对源系统和目标系统开始 初始周期 。
Microsoft Entra 预配服务 查询自初始周期以来更改的任何用户和组的源系统,并推送 增量周期中的更改。
仅使用云的企业的自动用户配置
在此示例中,用户创建发生在 Microsoft Entra ID 中,Microsoft Entra 预配服务管理目标 (SaaS) 应用程序的自动用户预配。
工作流说明:
用户/组是在 Microsoft Entra ID 中创建的。
Microsoft Entra 预配服务 针对源系统和目标系统开始 初始周期 。
Microsoft Entra 预配服务 会查询自初始周期以来更新的任何用户和组的源系统,并执行任何 增量周期。
云 HR 应用程序的自动用户预配
在此示例中,用户和或组是在云 HR 应用程序中创建的。 Microsoft Entra 预配服务和 Microsoft Entra Connect 预配代理将云 HR 应用租户中的用户数据预配到 AD 中。 在 AD 中更新帐户后,它会通过 Microsoft Entra Connect 与 Microsoft Entra ID 同步,电子邮件地址和用户名属性可以写回到云 HR 应用租户。
- HR 团队 在云 HR 应用租户中执行事务。
- Microsoft Entra 预配服务 从云 HR 应用租户运行计划周期,并标识需要处理的更改以与 AD 同步。
- Microsoft Entra 预配服务 使用包含 AD 帐户创建/更新/启用/禁用操作的请求有效负载调用 Microsoft Entra Connect 预配代理。
- Microsoft Entra Connect 预配代理 使用服务帐户来管理 AD 帐户数据。
- Microsoft Entra Connect 运行增量同步,以在 AD 中拉取更新。
- AD 更新与 Microsoft Entra ID 同步。
- Microsoft Entra 预配服务 将电子邮件属性和用户名从 Microsoft Entra ID 写回到云 HR 应用租户。
规划部署项目
请考虑组织的需求以确定在环境中部署用户预配的策略。
让合适的利益干系人参与
如果技术项目失败,通常是由于在影响、结果和责任方面不符合预期而导致的。 为了避免这些陷阱, 请确保你参与正确的利益干系人 ,并确保项目中的利益干系人角色通过记录利益干系人及其项目投入和责任得到充分理解。
制定沟通计划
沟通对于任何新服务的成功都至关重要。 主动向用户传达其体验、体验变化方式、何时需要任何更改,以及如何在遇到问题时获得支持。
规划试点
我们建议在测试环境中进行自动用户预配的初始配置,仅包括少量用户,然后再扩展到所有生产用户。 查看运行试点的 最佳做法 。
有关试点的最佳做法
试验计划允许你在为每个人部署功能之前,先用小规模群体进行测试。 确保作为测试的一部分,对组织中的每个用例进行全面测试。
在第一波中,锁定 IT、可用性,以及其他能够进行测试并提供反馈的合适用户。 使用此反馈进一步开发发送给用户的通信和说明,并深入了解支持人员可能看到的问题类型。
通过增加目标组的范围,将推出范围扩大到更大的用户组。 通过 动态成员身份组 或手动地将用户添加到目标组中来增加组的范围。
规划应用程序连接和管理
使用 Microsoft Entra 管理中心查看和管理支持预配的所有应用程序。 请参阅 在门户中查找应用。
确定要使用的连接器类型
启用和配置自动预配所需的实际步骤因应用程序而异。 如果您想要自动预配的应用程序已列在 Microsoft Entra SaaS 应用库中,那么您应选择特定应用的集成教程,来配置它的预集成用户预配连接器。
否则,请按照以下步骤操作:
为预集成的用户预配连接器创建请求。 我们的团队与你和应用程序开发人员合作,如果应用程序支持 SCIM,请将应用程序载入我们的平台。
为应用使用 BYOA SCIM 通用用户预配支持。 使用 SCIM 是一种必要条件,以便 Microsoft Entra ID 能在不使用预集成的用户预配连接器的情况下,将用户预配到应用程序。
如果应用程序能够利用 BYOA SCIM 连接器,请参阅 BYOA SCIM 集成教程 ,为应用程序配置 BYOA SCIM 连接器。
有关详细信息,请参阅 哪些应用程序和系统可与 Microsoft Entra 自动用户预配一起使用?
收集信息以授权应用程序访问
设置自动用户预配需要为每个应用程序单独进行。 对于每个应用程序,需要提供 管理员凭据 才能连接到目标系统的用户管理终结点。
该图像显示了所需管理员凭据的一个版本:
虽然某些应用程序需要管理员用户名和密码,但其他应用程序可能需要持有者令牌。
规划用户和组配置
如果为企业应用启用用户预配, Microsoft Entra 管理中心 通过属性映射控制其属性值。
确定每个 SaaS 应用的操作
每个应用程序可能具有唯一的用户或组属性,这些属性必须映射到Microsoft Entra ID 中的属性。 应用程序可能只有一部分 CRUD 操作可用。
对于每个应用程序,请记录以下信息:
要针对目标系统的用户和或组对象执行的 CRUD 预配操作。 例如,每个 SaaS 应用业务所有者可能不希望执行所有可能的操作。
源系统中可用的属性
目标系统中可用的属性
系统之间的属性映射。
选择要预配的用户和组
在实现自动用户预配之前,必须确定要预配到应用程序的用户和组。
定义用户和组属性映射
若要实现自动用户预配,需要定义应用程序所需的用户和组属性。 Microsoft Entra 用户对象和每个 SaaS 应用程序的用户对象之间有一组预配置的属性和 属性映射 。 并非所有 SaaS 应用都启用组属性。
Microsoft Entra ID 支持直接属性到属性映射、提供常量值或 编写属性映射的表达式。 这种灵活性使你可以对目标系统属性中填充的内容进行精细控制。 可以使用 Microsoft 图形 API 将用户预配属性映射和架构导出到 JSON 文件,并将其导入到 Microsoft Entra ID 中。
有关详细信息,请参阅 在 Microsoft Entra ID 中自定义 SaaS 应用程序的用户预配属性映射。
用户预配的特殊注意事项
请考虑以下事项,以减少部署后的问题:
确保用于映射源应用程序和目标应用程序之间的用户/组对象的属性具有复原能力。 如果属性发生更改(例如,用户移动到公司的其他部分),则不应错误地预配用户/组。
应用程序可能有特定的限制和/或要求,需要满足这些限制和/或要求才能使用户预配正常工作。 例如,Slack 截断某些属性的值。
确认源系统和目标系统之间的架构一致性。 常见问题包括 UPN 或邮件不匹配等属性。 例如,在 Microsoft Entra ID 中,UPN 设置为 john_smith@contoso.com,而在应用中,它为 jsmith@contoso.com。 有关详细信息,请参阅 “用户”和“组架构参考”。
测试计划与安全
在部署的每个阶段,确保测试结果是否按预期进行,并审核预配周期。
测试计划
首先,为应用程序配置自动用户预配。 然后运行测试用例来验证解决方案是否满足组织的要求。
| 场景 | 预期结果 |
|---|---|
| 用户被添加到分配给目标系统的组。 | 在目标系统中预配用户对象。 用户可以登录到目标系统并执行所需的操作。 |
| 从分配给目标系统的组中删除了该用户。 | 在目标系统中取消预配用户对象。 用户无法登录到目标系统。 |
| 可以通过任何方法在 Microsoft Entra ID 中更新用户信息。 | 更新的用户属性在增量循环后反映在目标系统中。 |
| 用户不在范围内。 | 用户对象已禁用或删除。 |
规划安全性
部署过程中通常需要进行安全审核。 如果需要安全评审,请参阅许多Microsoft Entra ID 白皮书 ,其中概述了标识即服务。
计划回滚
如果自动用户预配实现无法在生产环境中正常工作,以下回滚步骤可以帮助你还原到以前的已知良好状态:
查看 预配日志 ,以确定受影响用户和/或组上发生的错误操作。
使用预配日志确定受影响的用户和/或组的最后已知良好状态。 另请查看源系统(Microsoft Entra ID 或 AD)。
与应用程序所有者协作,使用最后已知的良好状态值直接在应用程序内更新受影响的用户和/或组。
部署自动用户预配服务
选择符合解决方案要求的步骤。
为初始周期做准备
Microsoft Entra 预配服务首次运行时,针对源系统和目标系统的初始周期会为每个目标系统创建所有用户对象的快照。
为应用程序启用自动预配时,初始周期从 20 分钟到几个小时不等。 持续时间取决于Microsoft Entra 目录的大小以及预配范围内的用户数。
预配服务在初始周期后存储这两个系统的状态,从而提高后续增量周期的性能。
配置自动用户预配
使用 Microsoft Entra 管理中心 管理支持它的应用程序的自动用户帐户预配和取消预配。 请按照“如何设置应用程序的自动预配”中的步骤操作?
还可以使用 Microsoft 图形 API 配置和管理 Microsoft Entra 用户预配服务。
管理自动用户预配
部署后,需要管理解决方案。
监视用户预配操作运行状况
在一个成功的 初始周期后,Microsoft Entra 预配服务将无限期地运行增量更新,具体取决于每个应用程序,直到发生以下事件之一:
该服务已手动停止,并使用 Microsoft Entra 管理中心或使用相应的 Microsoft Graph API 命令触发新的初始周期。
新的初始周期会触发属性映射或范围筛选器的更改。
预配过程由于错误率高而进入隔离区,并保持隔离状态超过四周,然后会自动禁用。
若要查看这些事件以及预配服务执行的其他所有活动,请参阅 Microsoft Entra 预配日志。
若要了解预配周期需要多长时间并监视预配作业的进度,可以 检查用户预配的状态。
从报表获取见解
Microsoft Entra ID 可以通过预配日志和报告来更深入地了解组织的用户预配使用情况和操作运行状况。 若要了解有关用户见解的详细信息,请参阅 检查用户预配的状态。
管理员应检查预配摘要报告,以监视预配作业的操作运行状况。 预配服务执行的所有活动都记录在 Microsoft Entra 预配日志中。 请参阅 教程:报告自动用户帐户预配。
建议您负责并以满足您组织需求的频率阅读这些报告。 Microsoft Entra ID 将大多数审核数据保留 30 天。
故障排除
请参阅以下链接,排查预配过程中可能出现的任何问题: